Was ist passiert?

Am 16.10.2023 veröffentlichte Cisco Einzelheiten zu einer äußerst kritischen Sicherheitslücke in Cisco IOS XE (CVE-2023-20198). Diese Sicherheitslücke ist nicht gepatcht und wird derzeit aktiv von Angreifern ausgenutzt. Sie ermöglicht es einem Angreifer, die Kontrolle über das gefährdete Gerät zu übernehmen. Dabei kann der Angreifer neue Benutzerkonten auf dem Gerät erstellen und ein Implantat einfügen, das die Konfiguration des Geräts verändert. Dies ermöglicht es dem Angreifer, den Netzwerkverkehr abzufangen und gezielte Man-in-the-Middle-Angriffe innerhalb des Netzwerks zu starten. Wie eine Man-in-the-Middle-Attacke funktioniert, haben wir bereits hier beschrieben: https://make-it-eazy.de/2023/08/11/wie-funktioniert-eine-man-in-the-middle-attacke/

Es wurde auch festgestellt, dass diese Sicherheitslücke bereits in Zehntausenden von Fällen aktiv ausgenutzt wurde. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt ebenfalls vor dieser kritischen Schwachstelle und sieht dringenden Handlungsbedarf.

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-275141-1032.pdf?__blob=publicationFile&v=2

 

Wie groß ist die Gefahr dieser Schwachstelle?

Die Schwachstelle wurde mit einem CVSS-Score von 10/10 als äußerst kritisch eingestuft.

Das aktuelle Fehlen eines verfügbaren Patches für die Schwachstelle CVE-2023-20198 ist besonders schwerwiegend, da es anderweitige Mitigationsmaßnahmen von IT-Sicherheitsveranwortlichen erfordert. Korrekt konfigurierte IOS XE Systeme, die nicht aus dem Internet erreichbar sind, sind zumindest vor Angriffen von extern geschützt.

bsi.bund.de (2023): Aktive Ausnutzung einer ungepatchten Schwachstelle in Cisco IOS XE, [online] https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-275141-1032.pdf?__blob=publicationFile&v=2 [18.10.2023].

Wer ist von dieser Sicherheitslücke betroffen?

Diese Sicherheitslücke betrifft alle Geräte, die das Betriebssystem Cisco IOS XE verwenden. Insbesondere ist die Schwachstelle problematisch, wenn die Web-Oberfläche (Web UI) über das Internet frei zugänglich ist. Dazu gehören beispielsweise Switches, Router und WLAN-Controller. Wenn Sie ein solches Gerät betreiben und die Web-Oberfläche öffentlich zugänglich ist, müssen Sie davon ausgehen, dass es möglicherweise bereits kompromittiert wurde.

Attackers have exploited a recently disclosed critical zero-day bug to compromise and infect more than 10,000 Cisco IOS XE devices with malicious implants.

bleepingcomputer.com (2023): Over 10,000 Cisco devices hacked in IOS XE zero-day attacks, [online] https://www.bleepingcomputer.com/news/security/over-10-000-cisco-devices-hacked-in-ios-xe-zero-day-attacks [18.10.2023].

Nach unseren Recherchen sind derzeit etwa 1700 Geräte mit Cisco IOS XE in Deutschland über das Internet frei zugänglich.

Wie sollten Sie reagieren?

Bisher hat Cisco noch kein Update zur Verfügung gestellt. In ihrer Sicherheitsmitteilung gibt Cisco jedoch Anweisungen, wie Sie überprüfen können, ob Ihre Geräte gefährdet sind und ob bereits ein erfolgreicher Angriff stattgefunden hat. 

Mit folgendem CLI (Kommandozeile) können Sie prüfen, ob das Web UI aktiviert ist.

Router# show running-config | include ip http server|secure|active
ip http server
ip http secure-server

Prüfen Sie die Systemprotokolle auf das Vorhandensein einer der folgenden Protokollmeldungen, wobei der Benutzer cisco_tac_admin, cisco_support oder ein anderer konfigurierter lokaler Benutzer sein kann, den Sie nicht kennen:

%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023

Überprüfen Sie die Systemprotokolle auf die folgende Meldung, wobei filename ein unbekannter Dateiname ist, der nicht mit einer erwarteten Dateiinstallationsaktion korreliert:

%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename

Weiterhin kann mit folgendem Befehl geprüft werden, ob Implantat vorhanden ist, wobei systemip die IP-Adresse des zu prüfenden Systems ist. Dieser Befehl sollte von einer Arbeitsstation mit Zugriff auf das betreffende System ausgeführt werden. Wenn die Anfrage eine hexadezimale Zeichenfolge zurückgibt, ist das Implantat vorhanden.

curl -k -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1"

Wir empfehlen dringend, betroffene Geräte zu identifizieren und die oben genannten Prüfungen durchzuführen. Falls eine Kompromittierung festgestellt wird, sollten Sie das Gerät umgehend vom Netzwerk trennen und weitere Maßnahmen zur Überprüfung des internen Netzwerks einleiten. Ziehen Sie bei Bedarf Fachleute hinzu.

Wenn Sie weitere Informationen zu dem Thema oder wie Sie Ihre IT schützen können, erhalten möchten, können Sie uns jederzeit gerne kontaktieren und einen Termin zu einem kostenlosen Erstgespräch buchen.
Weiterhin empfehlen wir auch unser kostenloses Whitepaper „Wie schütze ich mein Unternehmen gegen Cyberattacken“.